Auf einen Blick: Art. 12 KI-VO verlangt, dass Hochrisiko-KI Ereignisse automatisch protokolliert, eingebaut und ohne Zutun des Bedieners. Die Logs müssen mindestens sechs Monate aufbewahrt werden. Sie sind die Voraussetzung für menschliche Aufsicht und Marktbeobachtung. Eine finale technische Norm fehlt Stand Mai 2026 noch, zwei Entwürfe sind in Arbeit.
Logging ist eines der Themen, die in der KI-Verordnung technisch wirken und gerade deshalb oft durchrutschen. Art. 12 KI-VO verlangt, dass ein Hochrisiko-KI-System Ereignisse automatisch aufzeichnet, und zwar über seine gesamte Lebensdauer. Nicht auf Knopfdruck, nicht wenn jemand daran denkt, sondern eingebaut. Diese Logs sind kein technischer Selbstzweck. Sie sind die Grundlage dafür, dass ein Mensch das System überwachen kann und dass ein Anbieter im Schadensfall nachvollziehen kann, was passiert ist. Wer das übergeht, kann später nicht belegen, dass sein System sich korrekt verhalten hat.
Was Art. 12 KI-VO verlangt
Der Artikel adressiert primär den Anbieter eines Hochrisiko-KI-Systems. Er muss dafür sorgen, dass das System die automatische Aufzeichnung von Ereignissen technisch ermöglicht. Diese Logging-Fähigkeit muss in das System eingebaut sein und Logs ohne Eingriff des Bedieners automatisch im Moment des Ereignisses erzeugen.
Das ist der entscheidende Punkt. Logging nach Art. 12 KI-VO ist kein nachträgliches Protokoll, das jemand von Hand führt. Es ist eine Eigenschaft des Systems selbst. Das System schreibt mit, während es arbeitet, lückenlos und automatisch. Wer ein Hochrisiko-System anbietet, das diese Fähigkeit nicht hat, kann es nicht konform betreiben.
Der Zweck steht ebenfalls im Artikel. Logs sollen Situationen erkennbar machen, die ein Risiko darstellen könnten. Sie sollen die Beobachtung nach dem Inverkehrbringen erleichtern und den Betrieb des Systems überwachen. Über die Logs wird sichtbar, ob ein im Risikomanagement identifiziertes Risiko im realen Einsatz tatsächlich auftritt, ob das System driftet oder ob es zu Fehlfunktionen kommt.
Was geloggt werden muss
Die Verordnung gibt keinen erschöpfenden Katalog vor, in dem jede einzelne Log-Zeile aufgelistet ist. Sie beschreibt, welche Informationen die Logs ermöglichen müssen. Daraus ergibt sich in der Praxis ein klares Bild.
Aufgezeichnet werden Ereignisse, die für die Erkennung von Risikosituationen relevant sind. Dazu gehören der Zeitraum jeder Nutzung mit Anfangs- und Endzeitstempel, die Referenzdatenbank, gegen die das System geprüft hat, die Eingabedaten, die zu einer Entscheidung geführt haben, und die Personen, die in eine Überprüfung der Ergebnisse eingebunden waren. Bei bestimmten Hochrisiko-Anwendungen, etwa biometrischer Identifizierung, nennt die Verordnung diese Punkte ausdrücklich.
Übersetzt für den Betrieb heißt das: Es muss nachvollziehbar bleiben, wer wann mit welchen Daten welche Entscheidung des Systems ausgelöst, gesehen oder korrigiert hat. Ein Log, das nur sagt "System lief von acht bis sechs", reicht nicht. Ein Log, das jede risikorelevante Entscheidung mit Zeitstempel, Eingabe und beteiligtem Menschen festhält, erfüllt den Zweck.
Aufbewahrungsfrist und Stand der Normung
Automatisch erzeugte Logs müssen mindestens sechs Monate aufbewahrt werden, sofern Unionsrecht oder nationales Recht nichts anderes vorschreibt. Diese sechs Monate sind die Untergrenze, nicht die Obergrenze. In vielen Fällen greifen längere Fristen, etwa aus dem Handelsrecht, aus der DSGVO oder aus branchenspezifischen Regelungen. Im Zweifel orientiert man sich an der längsten anwendbaren Frist.
Beim technischen Wie steht die Verordnung Stand Mai 2026 noch ohne finalisierte Norm da. Zwei Entwürfe sind in Arbeit. prEN 18229-1 behandelt KI-Logging und menschliche Aufsicht und entsteht im europäischen Normungsprozess als harmonisierte Norm zur KI-Verordnung. ISO/IEC DIS 24970 befasst sich mit dem Logging von KI-Systemen auf internationaler Ebene und liegt als Draft International Standard vor. Beide sind noch nicht final.
Für ein KMU bedeutet das zweierlei. Erstens gibt es noch keine fertige Checkliste, gegen die man ein System abhaken könnte. Zweitens lohnt es sich, bei der Anbieterwahl nach der Logging-Architektur zu fragen, weil ein Anbieter, der die Normentwürfe kennt und sich daran orientiert, später leichter konform wird. Wer sich darauf einstellt, dass die Normen kommen, vermeidet teure Nachrüstungen.
Verhältnis zu Art. 14, Art. 72 und Art. 26 KI-VO
Art. 12 KI-VO ist die technische Grundlage für mehrere andere Pflichten. Ohne Logs läuft fast nichts.
Die menschliche Aufsicht nach Art. 14 KI-VO setzt voraus, dass ein Mensch das Systemverhalten überblicken kann. Genau dafür liefern die Logs die Datenbasis. Ein Aufsichtsführender, der eine Fehlentscheidung des Systems erkennen und korrigieren soll, braucht eine nachvollziehbare Spur dessen, was das System getan hat.
Die Beobachtung nach dem Inverkehrbringen nach Art. 72 KI-VO, das Post-Market-Monitoring, lebt von den Logs. Der Anbieter muss systematisch Daten über das Verhalten seines Systems im realen Einsatz sammeln und auswerten. Die automatisch erzeugten Logs sind das Rohmaterial dieser Beobachtung. Über sie wird sichtbar, ob ein Risiko, das im Risikomanagement nach Art. 9 KI-VO geplant wurde, in der Praxis hält.
Für den Betreiber ist Art. 26 KI-VO der entscheidende Anker. Er muss die automatisch erzeugten Logs aufbewahren, soweit sie in seiner Kontrolle liegen. Ein KMU, das ein Hochrisiko-System einsetzt und die Logs einfach nach einer Woche überschreiben lässt, weil der Speicher voll ist, verletzt diese Pflicht. Der Anbieter baut die Logging-Fähigkeit ein, der Betreiber sorgt dafür, dass die Logs auch tatsächlich gesichert und aufbewahrt werden.
DSGVO-Schnittstelle: wenn Logs Personenbezug haben
Logs sind selten neutral. Bei einem Kreditscoring-System enthalten sie die Daten der bewerteten Person. Bei einer Zugangskontrolle die Identität dessen, der durch die Tür wollte. Bei einem HR-Tool die Bewerberdaten. Sobald Logs personenbezogene Daten enthalten, greift die DSGVO zusätzlich zur KI-Verordnung.
Damit kollidieren zwei Prinzipien, die man austarieren muss. Art. 12 KI-VO verlangt Aufbewahrung, mindestens sechs Monate. Art. 5 DSGVO verlangt Speicherbegrenzung, also dass personenbezogene Daten nicht länger gespeichert werden als nötig. Die Lösung liegt in der Zweckbindung: Die Logs werden zum Zweck der KI-Compliance aufbewahrt, und dieser Zweck rechtfertigt die Mindestfrist. Was über den Compliance-Zweck hinaus nicht mehr gebraucht wird, wird gelöscht.
Hinzu kommt Art. 32 DSGVO, die Sicherheit der Verarbeitung. Logs mit Personenbezug müssen geschützt werden, durch Zugriffskontrolle, Verschlüsselung und ein durchdachtes Berechtigungskonzept. Ein Log-Archiv, auf das jeder Mitarbeiter zugreifen kann, ist kein zulässiger Zustand. Wer Logs sammelt, sammelt Verantwortung mit.
Praxis: ZutrittWerk Sicherheitssysteme in Leipzig
Ein Beispiel aus dem Beratungsalltag. ZutrittWerk Sicherheitssysteme ist ein Mittelständler mit 140 Mitarbeitern in Leipzig, der biometrische Zugangskontrollen für Industriebetriebe einbaut und betreibt. Für einen Großkunden setzt das Unternehmen ein KI-gestütztes Gesichtserkennungssystem ein, das Zugang zu Hochsicherheitsbereichen steuert. Biometrische Identifizierung fällt unter Anhang III KI-VO als Hochrisiko-Anwendung.
ZutrittWerk ist hier Betreiber, das System stammt von einem externen Anbieter. Bei der Compliance-Prüfung fällt auf, dass das System zwar Logs erzeugt, diese aber nach 30 Tagen automatisch überschrieben werden, weil der lokale Speicher des Geräts begrenzt ist. Das verletzt die Sechs-Monats-Frist aus Art. 12 KI-VO.
Die Lösung ist organisatorisch und technisch zugleich. ZutrittWerk richtet einen verschlüsselten Log-Server in einem deutschen Rechenzentrum ein, auf den die Geräte ihre Logs spiegeln, bevor sie lokal überschrieben werden. Es wird ein Zugriffskonzept festgelegt: Nur der Sicherheitsbeauftragte und der Datenschutzbeauftragte dürfen die Logs einsehen, jeder Zugriff wird selbst protokolliert. Und es wird ein Löschkonzept definiert: Logs werden zwölf Monate aufbewahrt, dann automatisch gelöscht, weil keine längere Frist greift und Art. 5 DSGVO eine darüber hinausgehende Speicherung nicht rechtfertigt.
Damit erfüllt ZutrittWerk drei Pflichten auf einmal: die Aufbewahrung nach Art. 12 KI-VO, die Sicherheit nach Art. 32 DSGVO und die Speicherbegrenzung nach Art. 5 DSGVO. Genau dieses Austarieren ist die Arbeit, die ein Betreiber leisten muss.
Was ein KMU als Betreiber konkret tun muss
Für die meisten Mittelständler, die ein Hochrisiko-System nur einsetzen, lässt sich die Logging-Pflicht auf vier Aufgaben herunterbrechen.
| Aufgabe | Was konkret zu tun ist |
|---|---|
| Logs sichern | Sicherstellen, dass die vom System erzeugten Logs zentral und ausfallsicher gespeichert werden, nicht nur lokal überschrieben |
| Aufbewahrungsfrist einhalten | Mindestens sechs Monate, längere Frist prüfen (Handelsrecht, DSGVO, Branche) |
| Zugriffskonzept | Festlegen, wer Logs einsehen darf, Zugriffe selbst protokollieren, Verschlüsselung nach Art. 32 DSGVO |
| Löschkonzept | Definieren, wann Logs gelöscht werden, um Art. 5 DSGVO Speicherbegrenzung zu erfüllen |
Der erste Fehler in der Praxis ist fast immer der gleiche: Das System loggt, aber niemand sichert die Logs zentral. Sie liegen auf dem Gerät, der Speicher läuft voll, sie werden überschrieben. Im Schadensfall steht der Betreiber dann ohne Nachweis da. Wer das Zugriffs- und Löschkonzept gleich mitdenkt, vermeidet außerdem, dass die Compliance-Maßnahme selbst zum DSGVO-Verstoß wird.
Damit ein KMU diese Aufgaben überhaupt sieht, braucht es Mitarbeiter, die verstehen, was ein Hochrisiko-System loggt und warum. Genau das verlangt die KI-Kompetenzpflicht nach Art. 4 KI-VO, die seit 02.02.2025 in Kraft ist und keine Übergangsfrist kennt. Wer Logs verantworten soll, muss wissen, was ein Log überhaupt wert ist.
Was bei Verstoß droht und wann die Frist greift
Ein Verstoß gegen Art. 12 KI-VO kann Bußgelder nach Art. 99 KI-VO auslösen. Für Verletzungen der Hochrisiko-Pflichten liegt der Rahmen bei bis zu 15 Mio Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Versäumt der Betreiber zusätzlich die DSGVO-Pflichten beim Umgang mit personenbezogenen Logs, kommt nach Art. 83 DSGVO ein weiterer Bußgeldrahmen hinzu.
Die Hochrisiko-Pflichten nach Anhang III KI-VO wurden nach dem Trilog vom 07.05.2026 auf den 02.12.2027 verschoben. Wer aber heute schon ein Hochrisiko-System einkauft, sollte die Logging-Frage sofort klären, denn nachträglich eine ausfallsichere Log-Architektur in einen laufenden Betrieb einzuziehen ist teurer, als sie von Anfang an mit zu beschaffen.
In der Praxis sehen wir regelmäßig, dass Logs als technisches Beiwerk abgetan werden, bis sie im Streitfall plötzlich die einzige Quelle der Wahrheit sind. Wer dann eine lückenlose, geschützte Spur vorlegt, kann belegen, wie sein System sich verhalten hat. Wer keine Logs hat, kann gar nichts belegen, und im Zweifel geht das zu seinen Lasten. Die Kompetenzpflicht nach Art. 4 KI-VO bleibt davon unberührt und gilt seit 02.02.2025.
Häufige Fragen
Müssen wir die Logs selbst programmieren, wenn wir eine Hochrisiko-KI betreiben?
Nein. Die Logging-Fähigkeit muss nach Art. 12 KI-VO in das System eingebaut sein, und das ist die Aufgabe des Anbieters. Als Betreiber programmiert ihr nichts. Eure Pflicht aus Art. 26 KI-VO ist, die vom System automatisch erzeugten Logs zu sichern und aufzubewahren, ein Zugriffskonzept zu führen und ein Löschkonzept zu definieren. Wenn ein angebotenes Hochrisiko-System gar kein automatisches Logging mitbringt, ist es nicht konform und sollte nicht eingesetzt werden.
Wie lange müssen wir die Logs aufbewahren?
Mindestens sechs Monate nach Art. 12 KI-VO, sofern nicht Unionsrecht oder nationales Recht eine längere Frist vorschreibt. In der Praxis greifen oft längere Fristen aus dem Handelsrecht oder branchenspezifischen Regelungen. Wenn Logs personenbezogene Daten enthalten, begrenzt Art. 5 DSGVO die Speicherung gleichzeitig nach oben: Länger als für den Compliance-Zweck nötig dürfen sie nicht aufbewahrt werden. Ein Löschkonzept klärt diese Spanne verbindlich.
Gilt Art. 12 KI-VO auch für ChatGPT oder Microsoft Copilot im Büro?
Nein, nicht in der normalen Büronutzung. Art. 12 KI-VO betrifft Hochrisiko-KI-Systeme nach Anhang I oder Anhang III KI-VO. Wer ChatGPT oder Copilot für allgemeine Texte und Recherche nutzt, fällt nicht darunter. Erst wenn das System in einem Hochrisiko-Feld wie Kreditvergabe, Bewerber-Scoring oder biometrischer Identifizierung eingesetzt wird, greift die Logging-Pflicht. Dann gilt sie über den Anbieter, und der Betreiber muss die Logs sichern.
Gibt es schon eine technische Norm für das KI-Logging?
Stand Mai 2026 noch nicht final. Zwei Normentwürfe sind in Arbeit: prEN 18229-1 für KI-Logging und menschliche Aufsicht auf europäischer Ebene und ISO/IEC DIS 24970 für das Logging von KI-Systemen auf internationaler Ebene. Beide liegen als Entwurf vor und sind noch nicht verabschiedet. Wer ein Hochrisiko-System beschafft, sollte den Anbieter fragen, ob er sich an diesen Entwürfen orientiert, um spätere Nachrüstungen zu vermeiden.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 27. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.